新規デプロイの手順
新規デプロイでDSE Unified Authentication(DSE統合認証)を有効にする方法。
警告: 既に確立されたDSE環境に認証と権限管理を実装するには、追加の対策と手順が必要です。「プロダクション環境での手順」を参照してください。
手順
DSE Unified Authentication(DSE統合認証)を構成するには:
- ログインおよびパーミッションの管理に必要なデータがアクセス可能で、すべてのデータ・センターに存在することを確認します。「セキュリティ・キースペース・レプリケーション係数の構成」を参照してください。
- システム設定を構成します。「DSE Unified Authentication(DSE統合認証)の有効化」を参照してください。
-
認証と権限管理の方法(スキーマ)の構成:
- 内部に格納されたパスワード。「ログインとユーザーのセットアップ」で説明されているように、パスワードを使用してロールを作成する追加の構成は必要ありません。
- 外部LDAP。「LDAPスキームの定義」を参照してください。
- Kerberos。「Kerberosスキームの定義」を参照してください。
-
JMX認証の構成 :
nodetool
およびdsetool
のcassandra-env.sh
を変更して、認証が有効になっているクラスターに対して実行する必要があります。 -
DSEを再起動します。「DataStax Enterpriseの起動と停止」を参照してください。
注意: ノードは、再起動後、悪意のある行為に対して脆弱になります。デフォルトのcassandraアカウントとパスワード「cassandra」を使用して、誰でもシステムにアクセスできます。DataStaxでは、cassandraアカウントを無効にするまでクラスターを分離しておくことを推奨します。
-
独自のルート・アカウントを設定して、デフォルトのcassandraアカウントを無効にするか、削除します。「superuserログインの追加」を参照してください。
注: デフォルトのcassandraアカウントを使用すると、ログインを含むすべての要求が整合性レベルQUORUMで実行されるため、パフォーマンスに影響が出る可能性があります。DataStaxでは、ルート・アカウントを作成する場合にのみこのアカウントを使用することを推奨します。
-
構成されたスキーマでユーザーにマップするロールを作成し、キースペースやテーブルなどのデータベース・リソースにユーザーがアクセスするためのパーミッションを付与します。「ログインとユーザーのセットアップ」を参照してください。
重要:
- DSE Unified Authentication(DSE統合認証)に対応しているトランザクション・ノードに接続するすべてのアプリケーションで、最新のDataStax認定済みドライバーを使用します。DSEドライバーは、Cassandraドライバーのすべての機能をサポートし、さらに複数の認証方法と外部管理ロールの割り当てをサポートしています。「DataStaxドライバー」を参照してください。
- Sparkコンポーネントの制限:DataStax Enterpriseは、Sparkコンポーネント間の認証ためのサポートではなく、SparkをDSEトランザクション・ノードに接続するための内部認証サポートを提供します。
次のタスク
認証と権限管理を有効にした後で認証情報を指定してツールを実行します。